推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

行业观察 | 消费级IoT产品安全标识7月1日落地——三等级五维度,先看懂的先动手

   日期:2026-06-18 09:52:03     来源:网络整理    作者:本站编辑    评论:0    
行业观察 | 消费级IoT产品安全标识7月1日落地——三等级五维度,先看懂的先动手

行业观察 · 物联网安全

7月1日开始,消费级IoT产品要贴安全标识了

三等级、五维度,和商密的关系比想象中近

依据:《网络安全标识管理办法》(2026年7月1日施行)配套标准:《消费类智能联网设备分级要求》(征求意见稿)

觉得有帮助?关注「密安护航」,获取更多密码检测干货

一、这件事是怎么来的

国家网信办、工信部、公安部三部门联合发文,《网络安全标识管理办法》7月1日正式施行。核心内容是:具有联网功能的消费级IoT产品,可以申请贴上网络安全标识,按安全能力分三个等级——一星(基础级)、二星(增强级)、三星(领先级)。

配套的《消费类智能联网设备分级要求》国家标准同步推进,参编单位涵盖海康威视、小米、华为、中国移动、vivo、联想等头部厂商。两个文件一制度一标准,配套到位,IoT产品安全从"可做可不做"变成了有制度框架的正式赛道。

覆盖范围很宽:摄像头、智能门锁、智能手表/手环、家用路由器、扫地机器人、物联网基站……只要能联网,都在范围内。

标识是自愿参与,但市场会形成压力。头部厂商先贴上三星标识,零售商、平台、采购方就会把它变成隐性门槛——最后还是得做。这种路径在其他行业已经走过一遍了。


二、三个等级,要求差很远

三个等级的技术要求是递进关系,但有一个关键区别值得圈内人注意——三星必须委托第三方做渗透测试,没有自检选项。一二星厂商可以自检,三星不行。

等级
技术要求重点
检测方式
★ 一星
基础级
无弱口令/默认口令、基础软硬件加固、身份鉴别、最小权限控制
自检或委外均可
★★ 二星
增强级
强化安全存储、访问控制、日志审计、安全更新、漏洞应急响应、加密通信
自检或委外均可
★★★ 三星
领先级
侧信道攻击、中间人攻击、固件逆向、内存安全、Web安全——主动防御
必须委托第三方渗透测试

而且IoT渗透测试跟常规的Web渗透不是一回事,硬件层(芯片读写、调试接口、固件提取)、通信层(蓝牙、Zigbee、射频)、固件层(逆向、栈溢出)——涉及的能力面很宽,门槛不低。这条赛道,现在还在起步阶段,有能力的人先进来,后来者会越来越难。


三、密码人该看什么:五大维度里的商密条款

《分级要求》把检测内容分成五个维度,读一遍就能发现——密码相关条款几乎每个维度都有:

物理与硬件安全——芯片加解密运算、可信执行环境、硬件随机数发生器、安全启动签名校验链(SM2/SM9)

系统与软件安全——鉴别信息加密存储、固件更新真实性校验(签名验证)、防版本回滚

网络与通信安全——通信信道加密强度、密钥加密传输、双向身份鉴别(对应SM4密钥协商)

数据与信息安全——关键安全参数加密存储、禁止硬编码密钥、禁止明文密码传输

安全保障——三星要求的抗侧信道攻击,本质上是密码实现层面的检测

这个重叠面不是巧合。IoT设备密码合规的需求本来就在那,新标准只是把它系统化地要求出来了。做过商密产品的人看这些条款,会觉得眼熟——已有的能力,换了个赛道。


四、国际视角:ETSI EN 303 645先走了一步

如果产品要进欧洲市场,类似的要求其实早就有了。英国2022年通过了《产品安全和电信基础设施法案》(PSTI),2024年4月29日生效,执行标准就是ETSI EN 303 645——消费类物联网安全基线,凡参与消费级IoT产品供应链的企业都需要遵守。

中国的《分级要求》在制定时参考了ETSI EN 303 645,两套框架在"禁止通用默认口令、漏洞管理、安全更新、数据最小必要"等核心条款上高度对应。对想同时拿国内安全标识和进欧洲市场的厂商来说,两套标准有大量重合,一次整改可以兼顾。


五、圈内人该关注什么

说几个我觉得值得留意方向:

三星渗透测试是硬门槛——没有自检选项,需求是确定的。但IoT渗透能力面宽,硬件+通信+固件三层都要覆盖,不是随便转过来的。这块现在参与的人不多,值得关注。

商密和IoT安全的条款重叠度很高——五个维度里密码条款几乎无处不在。做过商密的人转到IoT安全,上手比从零开始快得多。能力可以复用,赛道可以延伸。

国内+国际双认证是个结合点——对做出口的IoT厂商,国内安全标识和ETSI EN 303 645一并覆盖,比分两次跑更划算。这个需求会越来越多。

时间点已经到了。7月1日管理办法施行,首批目录发布。趁需求刚起来、市场还没充分竞争的时候关注,比等别人都做熟了再跟进要主动。

消费级IoT产品安全检测能力(欢迎各位后台留言探讨)

国内安全标识检测 + ETSI EN 303 645 国际认证 · 双路径覆盖

已具备消费型物联网产品安全检测能力

国际合作方:英国BSI · 法国BV

适用产品范围

智能家居/语音助手   连网摄像机   智能手机可穿戴设备   物联网基站   集线器家居自动化设备   智能门铃   报警系统

正在规划国内安全标识或出口欧洲市场合规?可了解检测流程、周期与成本评估


往期推荐

▶ 政策解读 | 商用密码认证新增4类产品(附深度解读)

三批目录扩容背后的检测业务机会与隐忧

▶ 检测干货 | GM/T 0059拆解——服务器密码机18项检测,这三个卡掉一半产品

密钥管理、随机数、应用接口高频不合格项拆解

▶ 新标切换 | GM/T 0031——7月1日电子签章换新版,这三处必须改

2025版新标施行,三处变更直接影响送审

密安护航

商用密码认证合规 · 行业观察视角

服务对象:CA机构 · 密码产品厂商 · 合规负责人

# 商密认证    # IoT检测    # 密码标准解读    # 合规实战

本文内容基于公开政策和标准文件整理,仅供参考,不构成法律或认证建议。

觉得有帮助?点个「在看」,让更多同行看到

 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON